Certified Public Accounting Firm

信息技术(IT)审计服务 (Mandarin)

English Translation 英文翻譯

Japanese Translation 日文翻譯

MaloneBailey 的 IT 审计团队由资深专家组成,他们均拥有“四大”会计师事务所的工作背景,在为加密资产、零售、TMT(科技、媒体和电信)以及制造业等各行业的领先企业提供 IT 审计和 IT 风险管理咨询方面经验丰富。我们的核心团队成员持有 CPA(注册会计师)、CISA(注册信息系统审计师)和 CIA(注册内部审计师)等全球认可的证书,能够提供符合国际标准的、定制化的 IT 服务解决方案。

SOC鉴证服务

使用服务机构能够提升运营效率,但同时也会带来风险。客户希望获得证据,证明所使用的服务是安全且可靠的。SOC鉴证正是为解决这一挑战而设立。它通过独立且国际认可的评估,验证服务机构的控制措施是否经过合理设计并得到有效执行。SOC鉴证有助于服务机构建立信任并获得竞争优势。

SOC报告用于验证服务机构内部控制的有效性。服务机构广泛使用SOC报告,以协助客户开展风险评估并满足合规要求。SOC报告的主要类型及评价标准如下:

  • SOC 1:关注财务报告相关内部控制(ICFR,Internal Control over Financial Reporting)。
  • SOC 2:关注运营及合规控制,并依据美国注册会计师协会(AICPA)五项信任服务准则(Trust Services Criteria)进行评价,包括安全性(Security)、可用性(Availability)、保密性(Confidentiality)、处理完整性(Processing Integrity)及隐私(Privacy)。

SOC鉴证是一项鉴证业务,通过评估服务机构内部控制的有效性,并出具包含独立审计意见的正式SOC报告。

服务内容:

  • 根据企业的具体需求和目标,评估适合的SOC报告类型。
  • 通过控制流程穿行测试(Walkthrough)以及抽样测试,开展全面的SOC准备度评估,识别控制缺口及整改优先事项。
  • 针对已识别的控制缺口提供整改建议。
  • 指导客户起草和完善系统描述文件,清晰说明服务内容、技术架构及控制环境。
  • 出具包含独立审计意见的鉴证报告。

IT 内部控制服务
IT 内部控制服务是指企业为管理 IT 相关风险、保障数据安全、维护系统完整性以及实现法规合规(如 SOX、SOC)而实施的一整套系统化的政策、流程和技术。其涵盖的领域包括逻辑/物理访问控制、数据加密、备份/恢复、变更管理和持续监控。

IT 内部控制服务帮助客户保护 IT 资产、防止欺诈/错误、优化运营、满足合规要求(如 SOX、SOC 1和2、ISO 27001)及标准(如 COBIT)。它有助于企业应对网络威胁,并通过可审计的治理框架建立有权益关系者的信任。

提供的服务:

  • 风险评估与差距分析:识别 IT 系统、流程及合规框架(如 SOX、SOC 1/2、ISO 27001)中的薄弱环节;对照行业标准(如 COBIT)进行控制基准评估
  • 控制设计与实施:制定定制化的 IT 治理政策(如访问控制、数据加密、变更管理)
  • 持续监控与改进:针对控制缺陷提供整改计划
  • 培训与意识提升:对员工进行 IT 内部控制最佳实践的教育
     

IT 审计外包服务

IT 审计外包服务提供专业审计、内部控制评估、IT 尽职调查、数据分析以及 SOC 报告审阅。

IT 审计外包服务为企业带来以下价值:

  • 减少成本,无需建立内部专职 IT 审计团队
  • 提供专业能力(CISA/CPA 认证人员)
  • 借助成熟方法论提升效率
  • 通过客观的第三方系统与流程评估降低风险
     

SOX 就绪服务
《萨班斯-奥克斯利法案》(SOX)是美国联邦法律,旨在通过要求准确可靠的财务披露,加强对上市公司的监管并保护投资者。SOX 法案第 404 条对财务报告和内部控制提出了严格标准,重点关注财务报告内部控制(ICFR)。

SOX 就绪是指企业为实现 SOX 合规而开展的准备工作。在此过程中,企业会评估其财务流程、记录所有相关控制措施、测试其有效性,并整改缺陷,以确保符合 SOX 要求。

SOX 就绪使企业能够提升财务报告质量、运营效率、风险管理和数据安全:

  • 提高财务报告的可靠性,增强投资者信心
  • 优化业务流程,提升运营绩效
  • 制定风险应对策略,减少风险事件带来的潜在损失
  • 确保财务数据的机密性、完整性和可用性,加强数据安全

提供的服务
MB 内部控制服务团队与 MB IT 审计团队合作,提供一体化的 SOX 就绪解决方案。我们的解决方案涵盖以下方面:

  • 进行预评估和差距分析,识别控制缺陷
  • 梳理核心业务流程,记录关键控制
  • 评估控制设计与运行有效性
  • 借鉴最佳实践,提出整改建议并跟踪实施
  • 协助建立符合 SOX 要求的风险评估框架,解读法规更新,评估 ICFR 有效性
  • 提供员工培训,增强控制意识和理解
  • 支持持续监控与实施后审阅

系统迁移与治理咨询服务

系统迁移是指将企业的IT系统(如ERP、CRM)从旧有环境迁移到新环境的过程,涵盖基础设施、应用系统及数据等多个层面。通常在系统替换、基础设施升级或应用现代化过程中需要开展该类工作。

系统迁移治理咨询服务提供端到端的项目管理与治理咨询,覆盖规划、风险评估,以及迁移过程中的控制设计与实施。该服务可帮助企业实现以下目标:

  • 降低关键迁移风险,包括业务中断、数据丢失、未经授权访问及配置错误等
  • 构建完善的IT治理与内控体系,满足审计要求
  • 通过规范化项目管理,提高迁移效率
     

服务内容:

迁移前风险与控制评估

  • 识别数据丢失、未授权访问、职责分离冲突及业务中断等风险
  • 梳理关键业务流程(如收入、财务、薪资),并映射其在旧系统与目标系统中的控制机制
  • 分析因流程变化或系统功能差异带来的控制缺口,并提出改进建议

访问与安全管理

  •  监督旧系统权限的及时注销及新系统权限的合规开通
  • 审查用户角色及权限设置,防范职责冲突
  • 审核特权账户管理机制,确保权限分配合理且操作可追溯

变更与文档管理

  • 更新流程及控制文档(流程图、风险矩阵、说明文件等)
  • 对控制责任人开展新系统职责培训
  • 建立监控机制,确保应急访问流程得到有效监管及事后审查

数据迁移完整性验证

  • 验证关键业务逻辑(如交易流程、计算规则)在目标系统中的正确性
  • 设计数据对账控制,并复核对账结果,确保迁移数据的完整性、准确性与一致性

测试与用户验收支持(UAT)

  • 协助制定包含控制与合规测试的测试方案
  • 审查测试结果,验证控制措施是否按设计有效运行
  • 记录偏差问题并提出整改建议

法规合规与审计准备

  • 确保迁移活动符合相关法规要求(如SOX、GDPR等)
  • 建立完整的审计追踪记录,包括变更、审批及例外情况 
  •  支持内部及外部审计过程中的相关询证与检查

迁移后验证

  • 验证系统上线后控制措施的有效性
  • 支持上线后控制问题的整改与优化

其他附加服务

  • 识别对财务报告有重大影响的 IT 系统
  • 评估关键领域的 IT 通用控制:IT 环境、访问管理、程序变更、系统开发和计算机运行

网络安全与数据安全合规服务

企业常见需遵循的网络与数据安全合规框架包括:

  • ISO 27001:国际信息安全管理体系(ISMS)标准,规定了建立、实施、维护和持续改进信息安全控制的要求,以保障数据的机密性、完整性和可用性。
  • ISO 27701:作为ISO 27001的扩展,专注于隐私信息管理,提供建立隐私信息管理体系(PIMS)的要求与指南,帮助组织规范管理个人可识别信息(PII),实现隐私合规。
  • GDPR(欧盟通用数据保护条例):针对数据保护与隐私的严格法规,明确个人数据处理原则(如合法性、目的限制、数据最小化)及数据主体权利,并规范跨境数据传输。该法规亦常被作为全球范围内的最佳实践参考。
  • 中国数据跨境与数据安全法规:包括《网络安全法》、《数据安全法》、和《个人信息保护法》。对于数据出境,通常需进行安全评估(涉及重要数据或大规模个人信息时)、签署标准合同或通过认证等合规措施,适用于跨国企业在华机构。

 遵循上述框架可为企业带来以下价值:

  • 提升客户与合作伙伴信任及企业声誉
  • 降低法律与合规风险
  • 提高运营效率
  • 增强安全事件应对能力

服务内容:

差距评估与合规准备

  • 分析法规适用性,明确企业需履行的具体合规义务
  • 梳理个人信息及重要数据的存储位置、流转路径及处理方式
  • 识别现有流程与控制措施与法规要求之间的差距

政策与治理体系建设

  • 制定或更新信息安全政策、隐私政策及数据分类分级体系
  • 设计并协助实施数据处理活动记录(ROPA),以满足适用框架和法规的要求
  • 明确职责分工,包括数据保护官(DPO)、数据保护角色及数据所有者

实施与整改

  • 依据适用法规设计并落实控制措施,包括技术控制(如数据加密、匿名化处理)和管理控制(如访问控制、事件管理机制)
  • 开展验证或预认证评估,确保已识别差距得到有效整改

 培训与意识提升

  • 开发基于角色的专项培训(如DPO、人力资源、市场、IT、法务)
  • 开展员工数据保护与网络安全意识培训

认证与监管申报支持

  • 协调认证机构,准备认证材料及申请
  • 支持外部审计与监管问询响应
  • 跟踪相关法规变化,评估影响并提出更新建议

 事件响应与数据泄露管理

·         制定或评审事件响应计划(IRP),确保符合通报时限要求(如GDPR 72小时、PIPL即时通知)

·         支持数据泄露通报文件撰写及监管报告

如需了解更多我们如何为您提供帮助的信息,请联系 George Qin